Must read
Threat Hunting — как это работает (Часть2)
Переходя в практическую плоскость, как пример рассмотрим реализацию процесса Threat Hunting на базе технологии CrowdStrike. Это ПО обеспечивает упреждающий подход к защите рабочих станций и серверов путем сбора данных обо всех важных событиях, касающихся процессов, субпроцеcсов и их сертификатов, сетевых соединений, учетных записей, операций с файлами, обращений в реестры, и сравнения полученной информации с данными репутационных баз и поведенческими шаблонами.
Tаким образом, аналитик информационной безопасности имеет возможность заранее прогнозировать процессы и фиксировать аномальное поведение, требующее дополнительного расследования или мгновенной реакции. Если на одной из рабочих станций обнаружится определенный шаблон, ответственное лицо будет мгновенно оповещено и сможет более детально проанализировать, что произошло, а также принять активные меры для дальнейшего блокирования того или иного процесса, если это будет необходимо.
Алгоритм упреждающего поиска аномальных признаков, которые могут возникать на рабочих станциях, состоит из выдвижения гипотез о том, как вредоносные действия могут проявить себя, и дальнейшей их проверки с помощью решения CrowdStrike на предмет того, не фиксировался ли описанный шаблон (гипотеза) на рабочих станциях и серверах. Вот несколько примеров гипотез, которые могут быть проверены в организации:
процесс с сомнительным сертификатом подключается к сети Интернет по временной директории %TMP%;
процесс, не относящийся к списку интернет‐браузеров (например, chrome.exe или mozilla.exe), выполняет операции с файлами истории браузеров или cookies;
процесс, являющийся дочерним от почтовых клиентов, таких как outlook.exe или thunderbird.exe, выполняет действия по добавлению постоянного маршрута в таблицу локальной маршрутизации
Таким образом, для реализации данного подхода вам понадобятся несколько составляющих. Во‐первых, аналитики, которые смогут выдвигать гипотезы, и инженеры, которые будут исследовать инфраструктуру на предмет наличия заданных параметров. Во‐вторых, описанный процесс Threat Hunting, в котором четко определены роли инженера и аналитика, а также обратная связь с командами ИТ и безопасности для ответной реакции и обогащения систем. И, наконец, программный или программно‐аппаратный продукт, который позволит работать с массивами данных, генерируемых вашей инфраструктурой. И чем больше информации вы сможете получить, тем качественней будут результаты.